feat: handle double faults and configure a separate stack to prevent stack overflows

criskell · criskell · commit f9652ea096ea · 2025-03-23T09:30:24.000-03:00
diff --git a/Cargo.toml b/Cargo.toml
@@ -35,4 +35,8 @@ test-timeout = 60           # 1 minute in seconds
 
 [[test]]
 name = "should_panic"
-harness = false # disable test runner from default and custom test framework.
+harness = false       # disable test runner from default and custom test framework.
+
+[[test]]
+name = "stack_overflow"
+harness = false
diff --git a/NOTES.md b/NOTES.md
@@ -0,0 +1,10 @@
+## Double fault
+
+- Uma exception desse tipo acontece quando uma segunda exceção ocorre durante a manipulação de um handler de exception anterior.
+
+## Stack overflow
+
+- Uma guard page é uma página que fica lá embaixo da stack
+- Detecta overflows
+- Não é mapeada para um frame físico da memória
+- Causa um page fault ao invés de corromper silenciosamente outra memória.
diff --git a/src/gdt.rs b/src/gdt.rs
@@ -0,0 +1,55 @@
+use lazy_static::lazy_static;
+use x86_64::structures::gdt::{Descriptor, GlobalDescriptorTable, SegmentSelector};
+use x86_64::structures::tss::TaskStateSegment;
+use x86_64::VirtAddr;
+
+pub const DOUBLE_FAULT_IST_INDEX: u16 = 0;
+
+lazy_static! {
+    static ref TSS: TaskStateSegment = {
+        let mut tss = TaskStateSegment::new();
+
+        tss.interrupt_stack_table[DOUBLE_FAULT_IST_INDEX as usize] = {
+            const STACK_SIZE: usize = 4096 * 5;
+            static mut STACK: [u8; STACK_SIZE] = [0; STACK_SIZE];
+
+            let stack_start = VirtAddr::from_ptr(&raw const STACK);
+            let stack_end = stack_start + STACK_SIZE;
+            stack_end
+        };
+        tss
+    };
+}
+
+lazy_static! {
+    static ref GDT: (GlobalDescriptorTable, Selectors) = {
+        let mut gdt = GlobalDescriptorTable::new();
+        let code_selector = gdt.add_entry(Descriptor::kernel_code_segment());
+        let tss_selector = gdt.add_entry(Descriptor::tss_segment(&TSS));
+
+        (
+            gdt,
+            Selectors {
+                code_selector,
+                tss_selector,
+            },
+        )
+    };
+}
+
+struct Selectors {
+    code_selector: SegmentSelector,
+    tss_selector: SegmentSelector,
+}
+
+pub fn init() {
+    use x86_64::instructions::segmentation::{Segment, CS};
+    use x86_64::instructions::tables::load_tss;
+
+    GDT.0.load();
+
+    unsafe {
+        CS::set_reg(GDT.1.code_selector);
+        load_tss(GDT.1.tss_selector);
+    }
+}
diff --git a/src/lib.rs b/src/lib.rs
@@ -7,6 +7,7 @@
 
 use core::panic::PanicInfo;
 
+pub mod gdt;
 pub mod interrupts;
 pub mod serial;
 pub mod vga_buffer;
@@ -45,6 +46,7 @@ pub fn test_panic_handler(info: &PanicInfo) -> ! {
 
 pub fn init() {
     interrupts::init_idt();
+    gdt::init();
 }
 
 #[cfg(test)]
diff --git a/tests/stack_overflow.rs b/tests/stack_overflow.rs
@@ -0,0 +1,82 @@
+#![no_std]
+#![no_main]
+#![feature(abi_x86_interrupt)]
+
+use core::panic::PanicInfo;
+use lazy_static::lazy_static;
+use osdev_rust::{
+    exit_qemu, gdt::DOUBLE_FAULT_IST_INDEX, serial_print, serial_println, test_panic_handler,
+    QemuExitCode,
+};
+use x86_64::structures::idt::{InterruptDescriptorTable, InterruptStackFrame};
+
+#[no_mangle]
+pub extern "C" fn _start() -> ! {
+    serial_print!("stack_overflow::stack_overflow...\t");
+
+    osdev_rust::gdt::init();
+    init_test_idt();
+
+    stack_overflow();
+
+    panic!("Execution was to stop");
+}
+
+#[allow(unconditional_recursion)]
+fn stack_overflow() {
+    // o endereço de retorno é puxado para pilha em cada chamada.
+    // causa um stack overflow.
+    // isso chega na "guard page" que é criada pelo bootloader.
+    // essa guard page não permite leitura nem escrita.
+    // e fica abaixo da stack.
+    // ao acessarmos a guard page, ocorre um page fault.
+    // quando isso acontece, a CPU encontra o handler no IDT e tenta puxar um stack frame específico de interrupts.
+    // no entanto, o ponteiro de pilha está apontando ainda para o guard page.
+    // isso causa um segundo page fault.
+    // quando ocorre um page fault seguido de outro, ocorre um double fault.
+    // se não configurarmos uma pilha separada nesse caso para o handling do double fault, ocorre um triple fault e
+    // na maioria dos sistemas isso causará um reboot.
+    stack_overflow();
+
+    // garante que o compilador não transforme a recursão em um loop.
+    // devido a tail recursion optimizations.
+    // isso quebraria o teste.
+    volatile::Volatile::new(0).read();
+}
+
+lazy_static! {
+    static ref TEST_IDT: InterruptDescriptorTable = {
+        let mut idt = InterruptDescriptorTable::new();
+
+        unsafe {
+            // quando executa um double fault devido a um stack overflow,
+            // a pilha vai está corrompida.
+            // por isso armazenamos uma stack separada para o handling de double fault
+            // fazemos isso configurando um ponteiro para um stack separada dentro do IST dentro do TSS.
+            idt.double_fault
+                .set_handler_fn(test_double_flat_handler)
+                .set_stack_index(DOUBLE_FAULT_IST_INDEX);
+        }
+
+        idt
+    };
+}
+
+pub fn init_test_idt() {
+    TEST_IDT.load();
+}
+
+extern "x86-interrupt" fn test_double_flat_handler(
+    _stack_frame: InterruptStackFrame,
+    _error_code: u64,
+) -> ! {
+    serial_println!("[ok]");
+    exit_qemu(QemuExitCode::Success);
+    // a CPU não permite retorno de handlers de double faults.
+    loop {}
+}
+
+#[panic_handler]
+fn panic(info: &PanicInfo) -> ! {
+    test_panic_handler(info);
+}
